El proyecto Ideahamster ha publicado un manual con una metodología
para la programación segura de aplicaciones para Internet. Además,
anuncia la celebración de un workshop en Barcelona sobre la
metodología de seguridad OSSTMM.
La metodología para la programación segura es un suplemento de
la metodología de seguridad OSSTMM (Open Source Security Testing
Methodology Manual) que facilita una serie de estándares en
vistas al desarrollo de código que deberá encontrarse accesible
en Internet. Por tanto se parte desde un principio con la idea
de que este código debe estar preparado para sobrevivir en un
entorno altamente hostil.
A lo largo del manual se desarrollan las ideas que los diversos
programadores y diseñadores de aplicaciones deberán considerar
durante las fases de diseño y desarrollo de las aplicaciones.
Estos conceptos se plantean de forma universal para que puedan
ser aplicados a los diversos procesos de desarrollo, ya sean
manuales o automáticos y el objetivo es poder alcanzar unos
requisitos de seguridad que permitan conjugar la máxima
productividad del código evitando cualquier posible mal uso
que pueda provocar agujeros en la seguridad de los sistemas o
aplicaciones.
Los aspectos sobre los que se hace énfasis dentro de este
manual son:
* Comprobación de los datos entrantes
* Protección del proceso
* Control de los datos de salida
Por otra parte se realiza un análisis de los diversos errores
de programación que pueden provocar agujeros en la seguridad:
desbordamiento de memoria intermedia (“buffer overflow”),
ausencia de control en las cadenas de caracteres, el compromiso
remoto y la retención de recursos.
Este manual ha sido publicado en inglés y castellano.
Workshop sobre la metodología OSSTMM
El próximo 22 de noviembre se celebrará en Barcelona un workshop
sobre la metodología de seguridad OSSTMM. Este workshop será
presentado por Pete Herzog (creador de la metodología OSSTMM)
e impartido en castellano por tres de los principales en el
desarrollo de la metodología: Ángel Uruñuela, Jordi Martínez
y Miguel Ángel Domínguez.
El objetivo de este workshop consiste en facilitar información
sobre la metodología OSSTMM, su estructura y su utilización en
la realización de verificaciones en profundidad de la seguridad,
no sólo de los sistemas informáticos sino de otros elementos
clave como son las áreas de marketing, los recursos humanos y
la dirección.
En este sentido, el workshop ofrecerá una visión práctica de
la metodología OSSTMM y su utilización en las valoraciones de
seguridad corporativa. Gracias a la participación del creador
de la metodología y de destacados participantes en su
desarrollo, los participantes recibirán una gran cantidad de
información sobre la utilización real de la metodología.
La asistencia al workshop es gratuita y es de especial interés
no únicamente para aquellos involucrados en la realización de
pruebas o auditorías de seguridad sino también para aquellos
que tienen interés en los aspectos organizativos y están
preocupados por la implicación de la seguridad. La duración
prevista es de medio día.
Los interesados en asistir al workshop deben enviar un mensaje
a workshop@ideahamster.org para realizar la reserva. Más
adelante se facilitaran los detalles del lugar de celebración
del mismo.
xavi@hispasec.com
Más información:
Hispasec 27/04/01: Publicada una metodología para la
verificación de la seguridad
http://www.hispasec.com/unaaldia.asp?id=915
Estándar de programación segura
Versión en castellano
http://www.ideahamster.org/spsmmall-es.htm
Versión en inglés
http://www.ideahamster.org/spsmm.htm
Metodología OSSTMM (Open Source Security Testing Methodology
Manual)
http://www.ideahamster.org/osstmm-description.htm
Información sobre el workshop
http://www.ideahamster.org/workshop.htm
Deja un comentario